Das Wesentliche der Vereinbarung zur gemeinsamen Verantwortlichkeit der Stadt Köln und der RheinEnergie AG
Stand September 2022
Beteiligte der gemeinsamen Verantwortung
Bestimmte Verarbeitungen personenbezogener Daten haben die Stadt Köln und die RheinEnergie AG arbeitsteilig organisiert. Für diese Verarbeitungen sind die vier Gesellschaften (im Folgenden auch als die „Parteien“ bezeichnet) gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO.
Zweck und Beschreibung des Zusammenwirkens
Dies betrifft die Datenverarbeitungen, für die Webseite und das Projekt SmartCityCologne bei denen die Stadt Köln und die RheinEnergie AG, als gemeinsam Verantwortliche bezeichnet werden. Insbesondere für
– den Betrieb einer Webseite www.smartcity-cologne.de zur Information über Kooperationspartner und Programme
– den Betrieb und Administration des Kontaktformulars zur Bürgerkommunikation
– die Planung und Durchführung von Veranstaltungen
– die Erstellung und dem Versand von Informationsmaterialien an Interessierte und Teilnehmer
– die Auswahl und Kommunikation mit Kooperationspartnern aus allen Wirtschaftssektoren.
Rolle der Beteiligten und ihre Beziehung zu den Betroffenen
Die RheinEnergie AG betreibt die zentralen IT-Systeme für die Webseite und die sonstigen Service operativ. Als gemeinsam Verantwortliche legen die die Verantwortlichen insoweit gemeinsam die Zwecke und die Mittel der Verarbeitung fest. Sie haben hierzu in einer Vereinbarung festgelegt, wer von ihnen welche Verpflichtungen gemäß der DSGVO erfüllt. Mit den folgenden Informationen stellen wir Ihnen den wesentlichen Inhalt dieser Vereinbarung zur Verfügung.
Als Betroffener können Sie Ihre datenschutzrechtlichen Rechte gegenüber jedem einzelnen der oben genannten Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Zu Ihrer Entlastung und zur Vereinfachung können Sie sich aber auch an folgende von den Verantwortlichen benannte Anlaufstelle zur Geltendmachung Ihrer Rechte wenden:
RheinEnergie AG, Datenschutzbeauftragter
Parkgürtel 24, 50823 Köln
datenschutz@rheinenergie.com
Wesentlicher Inhalt der Vereinbarung
Die Parteien sind gemeinsam für die Einhaltung der datenschutzrechtlichen Bestimmungen sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Jede Partei erfüllt Ihre ggf. bestehende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten auch in Ansehung dieser gemeinsamen Verarbeitung und benennt diesen den anderen Parteien oder bestätigt, dass hierzu keine Pflicht besteht.
Gelangen eine oder mehrere Parteien zu der Auffassung, dass zumindest Teile der gemeinsamen Verarbeitung gegen datenschutzrechtliche Vorschriften verstoßen, so informieren diese unverzüglich und belegbar die übrigen Parteien. Nach Absprache der Parteien schließen diese insoweit ggf. erforderliche Vereinbarungen, um die festgestellten Verstöße unverzüglich zu beenden.
Die Parteien erstellen vor Beginn der gemeinsamen Verarbeitung eine gemeinsame Verfahrensbeschreibung, führen ggf. eine datenschutzrechtliche Prüfung sowie erforderlichenfalls eine Risikofolgenabschätzung durch und schafften auch sonst im Übrigen alle Voraussetzungen für einen datenschutzkonformen Einsatz des gemeinsamen Verfahrens. Die Dokumentation der vorgenannten Maßnahmen und die erforderlichen Dokumente werden bei der Partei geführt, die die jeweilige Leistung erbringt.
Unbeschadet der Befugnis von Betroffenen, ihre Rechte nach der DSGVO gegenüber jeder Partei geltend zu machen (Art. 26 Abs. 3 DSGVO), treffen die Parteien zur Gewährleistung der Rechte von Betroffenen entsprechend Art. 26 Abs. 1 Satz 2 und 3 DSGVO folgende Regelungen:
Als Anlaufstelle für Betroffene dient die RheinEnergie AG.
Ansprüche der Betroffenen nach Art 13 und 14 DSGVO erfüllt die RheinEnergie AG.
Rechte der Betroffenen nach Art 12, 15 bis 22 DSGVO erfüllt die RheinEnergie AG.
Wenn einer Partei eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet sie diese den übrigen Parteien unverzüglich. Das Gleiche gilt, wenn bei. einer Partei beschäftigte Personen gegen die Vereinbarung verstoßen. Nach Absprache der Parteien treffen diese unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen.
Nach Absprache der Parteien treffen diese unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen.
Die Parteien unterstützen sich wechselseitig mit allen ihnen zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der jeweils zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO und ggf. gegenüber den von der Verletzung des Schutzes personenbezogener Daten Betroffenen gemäß Art. 34 DSGVO.
Die Parteien unterstützen sich wechselseitig mit allen ihnen zur Verfügung stehenden Informationen bei der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei einer vorherigen Konsultation der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO.
Die Parteien informieren sich wechselseitig unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf die gemeinsame Verarbeitung beziehen.
Die Parteien setzen bei der Durchführung der Verarbeitung nur Beschäftigte ein, die in sinngemäßer Anwendung von Art. 28 Abs. 3 S. 2 lit. b DSGVO auf die Vertraulichkeit verpflichtet worden sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
Die Parteien gewährleisten geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten in sinngemäßer Anwendung von Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO, um die Sicherheit der gemeinsamen Verarbeitung zu gewährleisten. Dazu werden sie die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sicherstellen sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterhalten.
Dabei sind der Stand der Technik, die lmplementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
- Die RheinEnergie AG darf mit Bezug zur gemeinsamen Verarbeitung Auftragsverarbeiter beauftragen oder bestehende Auftragsverarbeiter austauschen. Die übrige Partei erteilt der RheinEnergie AG entsprechende Vollmacht. Mit den Auftragsverarbeiter ist eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 3 und 4 DSGVO abzuschließen, die den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit der zwischen den Parteien bestehenden Vereinbarung entspricht.
- Die Parteien sind verpflichtet, sich mit Bezug zur gemeinsamen Verarbeitung gegenseitig mit geeigneten technischen und organisatorischen Maßnahmen bei der Wahrung der in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen zu unterstützen. Soweit eine betroffene Person sich unmittelbar an eine Partei wendet, um ihre Rechte mit Bezug zur gemeinsamen Verarbeitung gemäß Art. 12 bis 22 DSGVO geltend zu machen, wird diese Partei das Ersuchen, soweit es die gemeinsame Verarbeitung betrifft, unverzüglich an die hierfür zuständige Partei weiterleiten. Die zuständige Partei trägt dafür Sorge, dass bei der Wahrung der Rechte keine Inkonsistenzen auftreten.
- Die Parteien beauftragen die RheinEnergie AG mit der Durchführung von Kontrollen, um die technischen und organisatorischen Maßnahmen sowie die Einhaltung datenschutzrechtlicher Vorgaben zu prüfen. Die RheinEnergie AG nimmt diese Aufgabe im Interesse aller Parteien wahr und wird regelmäßige Auditberichte sowie Prüfergebnisse allen Parteien unverzüglich zur Verfügung stellen.